במאמרים קודמים הכרנו מעט את מחסנית ה-elk והגדרת קובץ התצורה של Logstash עבור מנתח היומנים. במאמר זה נעבור לדבר החשוב ביותר מבחינה אנליטית, מה אתה רוצה לראות מהמערכת ולמה הכל נוצר - אלו גרפים וטבלאות משולבים לוחות מחוונים. היום נסקור מקרוב את מערכת ההדמיה קיבאנה, נבחן כיצד ליצור גרפים וטבלאות, וכתוצאה מכך נבנה לוח מחוונים פשוט המבוסס על יומנים מחומת האש של צ'ק פוינט.
הצעד הראשון בעבודה עם kibana הוא יצירה דפוס אינדקס, באופן הגיוני, זהו בסיס של אינדקסים המאוחדים לפי עיקרון מסוים. כמובן, זוהי אך ורק הגדרה כדי להפוך את Kibana לחיפוש נוח יותר אחר מידע בכל האינדקסים בו-זמנית. זה נקבע על ידי התאמת מחרוזת, אמור "מחסום-*" ואת שם האינדקס. לדוגמה, "מחסום-2019.12.05" יתאים לדפוס, אבל פשוט "מחסום" כבר לא קיים. ראוי להזכיר בנפרד שבחיפוש אי אפשר לחפש מידע על דפוסי אינדקס שונים בו-זמנית; קצת מאוחר יותר במאמרים הבאים נראה שבקשות API נעשות או על ידי שם האינדקס, או רק על ידי אחד קו התבנית, ניתן ללחוץ על התמונה:
לאחר מכן, אנו בודקים בתפריט Discover שכל היומנים מתווספים לאינדקס והמנתח הנכון מוגדר. אם נמצאו חוסר עקביות, למשל, שינוי סוג הנתונים ממחרוזת למספר שלם, עליך לערוך את קובץ התצורה של Logstash, כתוצאה מכך, יומנים חדשים ייכתבו כהלכה. על מנת שהיומנים הישנים יקבלו את הטופס הרצוי לפני השינוי, רק תהליך האינדקס מחדש עוזר; במאמרים הבאים נדון בפעולה זו ביתר פירוט. בואו נוודא שהכל מסודר, התמונה ניתנת ללחיצה:
היומנים נמצאים במקום, מה שאומר שאנחנו יכולים להתחיל לבנות לוחות מחוונים. בהתבסס על ניתוח לוחות מחוונים ממוצרי אבטחה, ניתן להבין את מצב אבטחת המידע בארגון, לראות בבירור נקודות תורפה במדיניות הנוכחית, ובהמשך לפתח דרכים להעלמתן. בואו נבנה לוח מחוונים קטן באמצעות מספר כלי הדמיה. לוח המחוונים יכלול 5 רכיבים:
- טבלה לחישוב המספר הכולל של יומנים לפי להבים
- טבלה על חתימות קריטיות של IPS
- תרשים עוגה לאירועי מניעת איומים
- תרשים של האתרים הפופולריים ביותר שביקרו בהם
- תרשים על השימוש ביישומים המסוכנים ביותר
כדי ליצור דמויות הדמיה, עליך לעבור לתפריט דמיין, ובחר את הדמות הרצויה שברצוננו לבנות! בוא נלך לפי הסדר.
טבלה לחישוב המספר הכולל של יומנים לפי להב
כדי לעשות זאת, בחר דמות טבלת נתונים, אנחנו נופלים בציוד ליצירת גרפים, משמאל הגדרות האיור, מימין איך היא תיראה בהגדרות הנוכחיות. ראשית, אדגים כיצד תיראה הטבלה המוגמרת, לאחר מכן נעבור על ההגדרות, ניתן ללחוץ על התמונה:
הגדרות מפורטות יותר של הדמות, התמונה ניתנת ללחיצה:
בואו נסתכל על ההגדרות.
הוגדר תחילה מדדים, זהו הערך שלפיו כל השדות יצטברו. מדדים מחושבים על סמך ערכים שחולצו בדרך זו או אחרת ממסמכים. הערכים מופקים בדרך כלל של שדות מסמך, אך ניתן להפיק גם באמצעות סקריפטים. במקרה הזה הכנסנו צבירה: ספירה (מספר כולל של יומנים).
לאחר מכן, נחלק את הטבלה למקטעים (שדות) שלפיהם יחושב המדד. פונקציה זו מבוצעת על ידי הגדרת הדליים, אשר בתורה מורכבת מ-2 אפשרויות הגדרות:
- שורות מפוצלות - הוספת עמודות ובהמשך חלוקת הטבלה לשורות
- טבלה מפוצלת - חלוקה למספר טבלאות על סמך הערכים של שדה ספציפי.
В דליים אתה יכול להוסיף מספר חלוקות כדי ליצור מספר עמודות או טבלאות, ההגבלות כאן הן הגיוניות למדי. בצבירה, אתה יכול לבחור באיזו שיטה תשמש לחלוקה לקטעים: טווח ipv4, טווח תאריכים, תנאים וכו'. הבחירה המעניינת ביותר היא בדיוק תנאי השירות и תנאים משמעותיים, החלוקה למקטעים מתבצעת לפי הערכים של שדה אינדקס מסוים, ההבדל ביניהם טמון במספר הערכים המוחזרים ובהצגתם. מכיוון שאנו רוצים לחלק את הטבלה בשם הלהבים, אנו בוחרים את השדה - מילת המפתח למוצר והגדר את הגודל ל-25 ערכים שהוחזרו.
במקום מחרוזות, elasticsearch משתמש בשני סוגי נתונים - טֶקסט и מילות מפתח. אם ברצונכם לבצע חיפוש בטקסט מלא, כדאי להשתמש בסוג הטקסט, דבר נוח מאוד בעת כתיבת שירות החיפוש שלכם, למשל, מחפשים אזכור של מילה בערך שדה מסוים (טקסט). אם אתה רוצה רק התאמה מדויקת, עליך להשתמש בסוג מילת המפתח. כמו כן, יש להשתמש בסוג נתוני מילת המפתח עבור שדות הדורשים מיון או צבירה, כלומר במקרה שלנו.
כתוצאה מכך, Elasticsearch סופרת את מספר היומנים למשך זמן מסוים, מצטברים לפי הערך בשדה המוצר. ב-Custom Label, אנו מגדירים את שם העמודה שתוצג בטבלה, מגדירים את הזמן עבורו אנו אוספים יומנים, מתחילים בעיבוד - Kibana שולח בקשה ל- elasticsearch, ממתין לתגובה ולאחר מכן מדמיין את הנתונים שהתקבלו. השולחן מוכן!
תרשים עוגה לאירועי מניעת איומים
מעניין במיוחד המידע על כמה תגובות יש באחוזים לאתר и למנוע על אירועי אבטחת מידע במדיניות האבטחה הנוכחית. תרשים עוגה עובד היטב עבור מצב זה. בחר ב-Visualize - תרשים עוגה. גם במדד אנחנו מגדירים צבירה לפי מספר היומנים. בדליים שמנו תנאים => פעולה.
הכל נראה נכון, אבל התוצאה מציגה ערכים עבור כל הלהבים; אתה צריך לסנן רק לפי הלהבים שפועלים במסגרת של מניעת איומים. לכן, בהחלט הקמנו את זה לסנן על מנת לחפש מידע רק על להבים האחראים לאירועי אבטחת מידע - מוצר: ("אנטי-בוט" או "אנטי וירוס חדש" או "מגן DDoS" או "SmartDefense" או "הדמיית איום"). התמונה ניתנת ללחיצה:
והגדרות מפורטות יותר, התמונה ניתנת ללחיצה:
טבלת אירועים של IPS
בשלב הבא, חשוב מאוד מנקודת מבט של אבטחת מידע הוא צפייה ובדיקה של אירועים על הלהב. שב"ס и חיקוי איוםכי אינם חסומים המדיניות הנוכחית, על מנת לשנות לאחר מכן את החתימה כדי למנוע, או אם התעבורה חוקית, אל תבדוק את החתימה. אנו יוצרים את הטבלה באותו אופן כמו בדוגמה הראשונה, עם ההבדל היחיד שאנו יוצרים מספר עמודות: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. הקפד להגדיר מסנן על מנת לחפש מידע רק על להבים האחראים על אירועי אבטחת מידע - מוצר: ("SmartDefense" או "הדמיית איומים"). התמונה ניתנת ללחיצה:
הגדרות מפורטות יותר, התמונה ניתנת ללחיצה:
תרשימים עבור האתרים הפופולריים ביותר שביקרו בהם
כדי לעשות זאת, צור דמות - בר אנכי. אנו משתמשים גם ב-count (ציר Y) כמדד, ובציר X נשתמש בשם האתרים שבהם ביקרת כערכים – "appi_name". יש כאן טריק קטן: אם תפעיל את ההגדרות בגרסה הנוכחית, אז כל האתרים יסומנו בתרשים באותו צבע, כדי להפוך אותם לרב-צבעים אנו משתמשים בהגדרה נוספת - "מפוצלת סדרה", מה שמאפשר לחלק עמודה מוכנה למספר ערכים נוספים, בהתאם לשדה הנבחר כמובן! חלוקה זו יכולה לשמש כעמודה אחת מרובת צבעים לפי ערכים במצב מוערם, או במצב רגיל כדי ליצור מספר עמודות לפי ערך מסוים על ציר X. במקרה זה, כאן אנו משתמשים ב- אותו ערך כמו בציר X, זה מאפשר להפוך את כל העמודות לרב-צבעוניות; הן יצוינו בצבעים בפינה השמאלית העליונה. בפילטר שאנו מגדירים - מוצר: "סינון URL" על מנת לראות מידע רק באתרים שבהם ביקרת, התמונה ניתנת ללחיצה:
הגדרות:
תרשים על השימוש ביישומים המסוכנים ביותר
כדי לעשות זאת, צור דמות - בר אנכי. אנו משתמשים גם ב-count (ציר Y) כמדד, ובציר X נשתמש בשם האפליקציות בהן נעשה שימוש - "appi_name" כערכים. החשוב ביותר הוא הגדרת המסנן - מוצר: "בקרת אפליקציה" ו-app_risk: (4 או 5 או 3) ופעולה: "קבל". אנו מסננים את היומנים לפי להב בקרת האפליקציה, לוקחים רק את האתרים המסווגים כאתרים קריטיים, גבוהים, בסיכון בינוני ורק אם מותרת גישה לאתרים אלו. התמונה ניתנת ללחיצה:
הגדרות, ניתן ללחוץ:
לוּחַ מַחווָנִים
הצגה ויצירה של לוחות מחוונים נמצאים בפריט תפריט נפרד - לוח ניהול חשבון. הכל פשוט כאן, נוצר לוח מחוונים חדש, מתווספת לו הדמיה, ממוקמת במקומו וזהו!
אנו יוצרים לוח מחוונים באמצעותו ניתן להבין את המצב הבסיסי של מצב אבטחת המידע בארגון, כמובן שרק ברמת צ'ק פוינט, התמונה ניתנת ללחיצה:
בהתבסס על גרפים אלה, אנו יכולים להבין אילו חתימות קריטיות אינן חסומות בחומת האש, לאן המשתמשים הולכים, ובאילו היישומים המסוכנים ביותר הם משתמשים.
מסקנה
בדקנו את יכולות ההדמיה הבסיסית ב-Kibana ובנינו לוח מחוונים, אבל זה רק חלק קטן. בהמשך הקורס נבחן בנפרד הגדרת מפות, עבודה עם מערכת elasticsearch, היכרות עם בקשות API, אוטומציה ועוד ועוד!
אז הישארו מעודכנים, , , ), .
מקור: www.habr.com